在宅ワークや複数の拠点を行き交うハイブリッドワークを採用している企業が増える一方でPCのライフサイクル管理は難しさを増している。そんな中、社外にあるPCを管理する方法として注目されているのが、クラウドベースでリモートマネジメントを実現する「モダン管理」という考え方だ。Microsoft Intune、Windows Autopilot、Azure Active Directory（現Entra ID）をフル活用するこのソリューションの導入に関して陥りやすい課題と解決方法について、株式会社インフォメーション・ディベロプメントの遠藤大介氏に取材してきたので紹介しよう。

株式会社インフォメーション・ディベロプメント
デジタルソリューション営業部　営業第2グループ
グループリーダー
遠藤 大介 氏

モダン管理のメリット・デメリットを改めて整理する

モダン管理とはMicrosoft IntuneとWindows Autopilot、Azure Active Directoryなどを使ったクラウドベースのPC管理を指す言葉だ。ハイブリッドワークの採用やWindows 11への移行を前提に採用する企業は増え続けており、情報システム部門に対する業務効率化や生産性向上の面でも大きなメリットを持つため、注目度は増し続けている。

クラウドベースのPC管理によるメリットは管理する側、管理される側いずれのケースでも場所を問わず実施できるところにあり、例えそれが海外の諸外国であっても同じように恩恵を受けることができる。

クリックして拡大表示

例えば従来のマスター管理の場合、大量のマシンを倉庫に集め、イメージコピーに数週間を要するといったケースも多かった。また、その場合は機種依存性も高く、PCベンダーが混在すると、再現性がなくなり、最初からマスターイメージを作り直すところからはじめなくてはならないといったシーンも少なくなかった。

クリックして拡大表示

モダン管理の場合、基本的にPCがインターネットにつながっていれば、どのような管理も行えるうえ、PCのライフサイクル管理で一番大変な端末入れ替えの際にも自宅にいる社員にPCが届き、それをインターネットにつないで電源を入れた瞬間にイメージが自動的に適用されるといった柔軟かつ均一な設定も可能となる。これによって、これまで大変な苦労をしてきたイメージコピーやPCの選定などが不要となり、業務負担は大きく削減、情報システム部門は本来の役目であるDX推進に集中することができるのだ。

非常に魅力的なモダン管理だが、一方で既存のシステムの内容によっては導入するにはいくつかのハードルがあるケースも見えてきている。今回はその中でも特にこれからモダン管理を採用したい企業の参考になりそうな、よくある躓きポイントと解決策を紹介しようと思う。

モダン管理はどこで躓きやすいのか？

モダン管理の導入で躓いてしまう企業の例として最初に上げたいのは、現在、オンプレミスのActive Directory（AD）でユーザー管理をしている例だ。モダン管理ではAzure Active Directory（Azure AD）によるユーザー管理を推奨しているが、オンプレミスのADでも通常なら移行は可能だ。しかし、GPO（Group Policy Object）でクライアント制御している数が多すぎる場合、Microsoft Intuneでは対応しきれないこともあるのだ。また、オンプレADを使って認証を行っている別のシステムが存在し、なおかつオンプレADを停止することができないケースもある。

こうしたケースの場合は、ユーザー管理機能の一部をAzure ADへ移行する「Hybrid Azure AD」を導入することで、Microsoft IntuneとWindows Autopilotを稼働させることが可能になることも多い。実際にはWindows Autopilotに関してはネットワークを別途整備するといったひと手間は掛かるが、既存システムへの影響を最小限にする方法としては妥当だと考えられる。

クリックして拡大表示

Active Directoryでユーザー管理をしてきた企業のシステム構成例

もう一つの例として挙げたいのは、既存のシステム認証にオンプレADを使っているケースだ。この場合、Azure ADへの完全な移行は難しく、モダン管理のみの運用をメインに別ネットワークでAzure ADを導入することで解決できる可能性がある。システム認証に関して、Windows Autopilotへの影響をテストしていく必要はあるが、そこで問題がなければ、日常の運用をHybrid Azure ADで運用するといった考え方もできる。一見複雑だが、柔軟性を持たせてシステム構築ができるというメリットもあるといえる。

また、このケースと似たような例として、ADがすでに動いており、GPO管理のテンプレートの更新が必要だという企業があった場合は、やはり、Windows Autopilotの運用のみAzure ADで対応するといったことで課題解決が可能な場合もある。

いずれにしても、モダン管理のためのシステム構築のみAzure ADを採用することで、これまであきらめていたような状況でも、クラウドベースのPC管理ができるようになることは十分考えられるので、まずはモダン管理についてHPに相談してみることも必要だ。

クリックして拡大表示

システム認証にActive Directoryを利用してきた企業のシステム構成例

見逃しがちなポイントにも注意

先ほどは技術的な部分での課題について触れたが、モダン管理を実践するにあたってぜひ覚えておいていただきたい項目はまだある。ひとつはモダン管理に必須のMicrosoft Intuneだが、これはMicrosoft 365のBusiness Premium以上のグレードから利用できるサービスになる。例えばほかにもエンドポイント管理ソリューションを導入する予定があるような場合は、Microsoft IntuneやAzure Active Directory（今後は「Entra ID」に名称変更）を単体購入するという方法もあるが、できればMicrosoftに統一したほうがコスト削減や管理負担軽減の効果は出やすくなる。

また、Microsoft 365を導入済みの企業は問題ないが、初めての導入になる場合はメール機能を提供するMicrosoft Exchangeや、チャット・Web会議のMicrosoft Teams、社内SNSのMicrosoft SharePoint等、プロダクトが多岐に渡るので、それらの運用方法などについても混乱のないように進めていく必要がある。

HPと共にモダン管理を実現するメリット

モダン管理を導入するにあたって、注意すべきポイントを述べてきたが、ここではHPに相談することで得られるメリットについても触れておきたいと思う。

例えば、モダン管理を実践するにあたり、最大の課題となるのがネットワークの確立だ。各種設定やアップデートをクラウド経由でPCに送信することになるため、ネットワークの帯域や構成において問題が生じる可能性がある。

しかし、HPには5年間のデータ量無制限で追加料金の必要がないネットワーク通信サービス「HP eSIM Connect」がある。LTE/ 5Gモジュールを搭載するHPの法人向けノートPCの一部が対象となっているサービスだが、このサービスが適用されたPCを導入することで、場所を問わず、au回線によるネットワーク通信が可能になる。自宅はもちろん、客先、出張先、オフィスの自席以外の場所など、ハイブリッドワークの舞台となるあらゆるシーンで安定した通信環境が得られるので、モダン管理とはすこぶる相性が良いサービスといえる。

また、モダン管理によるPC入れ替えをする際にはデバイスIDの発行、取得やMicrosoft Intune、Windows Autopilotへの登録が必要になるが、HPに依頼すればそれらの作業をすべて代行することも可能となる。これにより、PCのライフサイクル管理で一番手間のかかる、PCの入れ替えの際の作業負担は最小限にすることができる。

このほかにも、HPでは電源が入っていない遠隔地にあるPCに対して、PCの現在地の探索や、BIOSレベルでのPCロック、確実なデータ消去などの管理が可能な「HP Protect and Trace with Wolf Connect」というサービスも展開中だ。このサービスを使うことで、エンドポイント管理はさらに強力になるので、モダン管理の一環として視野に入れておけば、セキュリティ面や管理面で多大なメリットが生まれることになる。

モダン管理を実現すれば、企業にとって大きな恩恵があることは理解できたと思う。課題が浮上してきた際には、ここで触れたような解決策はもちろんだが、ノウハウを多く持っているHPに相談するのがもっとも早い解決を導くことになる。Windows 11への移行が目前に迫っている現在、多くの企業がモダン管理の実践について悩んでいると思うが、その際にはぜひ気軽にHPに連絡をいれていただきたい。